安全体系基础（44页)ppt课件

1、电子政务处理方案培训(二)-平安体系根底知识主要内容信息系统平安体系传统的平安手段平安体系构造平安保证体系的组成信息系统的平安分析V弱点分析T要挟分析R风险分析C对策分析信息平安的要挟蓄意或无意蓄意的要挟：企图破解系统平安无意的要挟：系统管理不良自动或被动被动的要挟行为：不会更改计算机系统资料自动的要挟行为：计算机系统上资料会被篡改实体或逻辑实体的要挟对象：实践存在之硬设备逻辑的要挟对象：计算机系统上的资料平安需求层次物理平安网络平安系统主机平安运用数据平安管理平安业务系统internet劳动局民政局物理平安环境平安设备实体平安媒体介质平安人员管理平安物理平安评价与建议业务系统internet

2、劳动局民政局环境平安计算机机房环境不良温度：20OC - 25OC湿度：40% - 60% 落尘：停电、雷击机房位置规划不当火灾地震水患设备实体平安计算机系统缺点预防重于保养、保养重于修缮设备复原：Cold Site、Hot Site容错系统 (Fault Tolerance)网络断线媒体介质平安软件程序平安管理操作系统(Operation System)公用程序(Utility)或工具(Tool) 管理信息运用系统敏感媒体的处置 碎纸机磁性数据的去除运用者资料备份(Backup)周期备份(Revolving Backup)选择备份(Selective Backup)储存备份资料的位置应远离计

3、算机机房人员管理平安非法侵入者会呵斥三种问题：盗窃机器或资料破坏机器阅读资料防止非法侵入者入侵：防止盗窃防止携出外出检测人员进出控制物理平安评价与建议建筑物场所位置的思索：所处楼层能否远离发电厂或变电所；所处楼层能否不易蒙受水患。行政管理方面：对进出主机房人员的控制方式及身份的限制方式。在维护厂商进展维护时陪伴人员的身份。对于superuser密码持有人的身份。信息中心人员有意见时反响的管道的方式。信息中心成员离任时的处置程序。信息中心人员职务代理人员制度。对系统维护的措施。对资源的保险措施能否有明确制度。物理平安评价与建议续系统管理及软件平安方面：操作系统能否有专人管理。系统之备份(back

4、 up)多久执行一次。对于计算机病毒如何处置。计算机操作及资料平安方面：对计算机设备操作训练及信息平安相关课程。对计算机设备操作程序能否有阐明文件。操作人员、值班人员的安排方式。文件、磁盘、磁带的报销及销售控制。计算机系统各设备及通讯网络设备的检查测试。对于运用的资源信息的各级分类情况。 网络平安网络平安的需求分析网络平安的平安技术对策网络平安的处理方案与建议业务系统internet劳动局民政局网络平安要挟截断拦截篡改伪装重放阻挠效力(Denial of service )网络平安要挟正常流程截断(Interruption)拦截(Interception)伪装(Fabrication)篡改(M

5、odification)嗅探(sniff)ABCsrc:B dest:A payload伪装(spoof)ABCsrc:B dest:A payload阻挠(DDOS)ABCSYNSYNSYNSYNSYNSYNSYN网络平安的平安技术对策通讯链路平安访问控制与平安边境管理网络行为管理网络信息监控与入侵证据管理网络平安的处理方案与建议采用通讯严密技术实现链路平安采用防火墙技术，控制访问权限建立入侵检测和网络行为追踪体系，防止非法访问与攻击运用网络平安扫描技术，自动探测网络平安破绽，进展网络平安评价设立主页监视系统，防止主页被篡改建立网络防病毒体系系统主机平安系统平安的需求分析系统平安的平安技术对

6、策系统平安的处理方案与建议业务系统internet劳动局民政局操作系统的平安要挟非法运用者的入侵及存取授权运用者蓄意的破坏及泄密恶意的软件 恶意的软件计算机病毒(Virus) 特性：激活、传播、感染、寄居 种类： 开机型、档案型、宏型寄生虫(Worm) 复制、传播病毒(阻断效力)、不会破坏系统特洛依木马(Trojan Horse) 将一段程序代码偷藏在普通程序、不会复制逻辑炸弹(Logic Bomb) 一旦条件吻合就执行特洛依木马上偷藏之程序代码暗门(Trapdoor)伪装(Spoofing) 冒充系统所产生之讯息系统平安的平安技术对策平安操作系统技术操作系统平安加强技术弱点破绽与风险管理个人

7、桌面系统平安病毒防治系统平安的处理方案与建议采用国家答应的平安操作系统和操作系统平安加强技术运用系统平安扫描技术，自动探测操作系统平安破绽，进展平安评价建立主机防病毒体系运用平安运用平安的需求分析运用平安的平安技术对策运用平安的处理方案与建议运用平安需求认证身份鉴别、数据鉴别性完好性授权不可否认运用平安的平安技术对策运用系统平安数据与数据库平安用户权限管理运用平安的处理方案与建议建立基于PKI的身份认证体系建立基于PKI的密码效力体系建立基于PKI的信任效力体系管理平安平安规章制度平安管理中心平安培训教育平安管理机构主要内容信息系统平安体系传统的平安手段传统的平安防御手段虚拟公用网防火墙访问控

8、制破绽扫描入侵检测病毒防治防火墙1网络边境平安防火墙是网络层的平安访问控制产品，做为内部网络平安的屏障，其主要目的是维护内部网络资源，强化网络访问平安战略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监视等功能。2防火墙与社保系统平安社保系统网络主要分为内部中心业务和对外公众效力两类网络；对外公众效力与INTERNET直接衔接，作为网络边境平安的平安控制产品的防火墙，主要安装在社保网与外部网络的物理或逻辑衔接的接口上，用来维护网络的平安。入侵检测网络入侵检测系统是实时的网络违规自动识别和呼应系统。它运转于敏感数据需求维护的网络上，经过实时监听网络数据流，识别，记

9、录入侵和破坏性代码流，寻觅网络违规方式和未授权的网络访问尝试。当发现网络违规方式和未授权的网络访问尝试时，网络入侵检测系统可以根据系统平安战略作出反响。当发生以下情况时，尤其需求采用网络入侵检测系统技术来保证网络的平安。当来自网络外部的攻击穿透防火墙进入内部网时，防火墙的维护功能曾经不复存在。当攻击来自网络内部时，防火墙无法对攻击进展呼应或阻断。IDS破绽扫描针对系统与网络平安性脆弱性进展分析和评价，提供扫描效力和系列工具的网络平安检测设备，主要是利用目前所发现和国内外公布的危害系统和网络方法，对网络目的扫描分析，检查并报告系统存在的平安脆弱性和破绽所在，描画这些平安脆弱问题对网络系统的危害程

10、度，对相关联的多个结果进展分析比较，并对平安脆弱分布情况进展统计，并且提出相应的平安防护措施和应实施的平安战略，以最终到达加强网络平安性的目的。Internal Network Scanner防病毒计算机病毒与网络病毒的检测、去除与预防是网络系统平安要素的一个很重要的方面。目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是经过网络共享文件、电子邮件及Internet/Intranet进展传播。计算机病毒防护曾经成为计算机系统平安战略中的重要内容。结合现有网络构造和层次构造，建立集中控管方式下的全方位病毒防护系统： 网关防病毒，快速扫描，实时监控 对一切病毒的侵入点设置防毒软件电子邮件查毒与

11、内容扫描结合与防火墙的整合 分布式防病毒，集中控管 告警的多样化、集中化 virus ScannerEvent Logger平安审计实时监视保证信息的完好性和可控性，记录网络中的各类操作，综合分析网络中发生的平安事件，根据设置的规那么，智能地判别出违规行为，并对违规行为进展记录、报警和阻断。可以对用户透明运用，将用户对操作系统和网络的一切访问都忠实的记录下来进展事后分析，并且可以进展实时平安预警，从而有效的管理内部人员的平安运用和对外部的黑客入侵行为进展实时报警和阻断，有效的保证需求高平安性系统的平安，防止信息被未授权的人篡改。PBXTelcoTelcoModem PoolPolicyPoli

12、cyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network ScannerPolicyEvent LoggerOffice Work-stationModem ScannerExternal Network ScannerDSL & Cable ModemsInternetAdmin Computing Web FTPDormsIDSDMZPolicyDept. ConnectionsPolicy传统平安模型传统平安手段的局限传统的平安手段是被动的、“捍卫科式的平安传统的平安手段是处理某一个单一层面的、片面的平安传统的平安手段无法实现信息本身的完好性、性维护传统的平安手段无法支持抗抵赖性PKI, DS, and CAPBXTelcoTelcoModem PoolPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyPolicyInternal Network Sc